次の方法で共有

セキュリティ評価: 正しく構成されていない登録エージェント証明書テンプレートを編集する (ESC3)

  • [アーティクル]

この記事では、Microsoft Defender for Identityの誤って構成された登録エージェント証明書テンプレートのセキュリティ体制評価レポートについて説明します。

誤った登録エージェント証明書テンプレートとは

通常、ユーザーには証明書を登録する登録エージェントがあります。 特定の状況では、登録エージェント証明書は、適格なユーザーの証明書を登録でき、organizationにリスクが生じます。

organizationを危険にさらす登録エージェント証明書テンプレートに関するレポートをMicrosoft Defender for Identityすると、[公開されたエンティティ] ウィンドウに危険な登録エージェント テンプレートが一覧表示されます。

このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。

  1. 誤った登録エージェント証明書テンプレートについて、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。 以下に例を示します。

    正しく構成されていない登録エージェント証明書テンプレート (ESC3) の編集に関する推奨事項のスクリーンショット。

  2. 次のいずれかの手順を実行して、問題を修復します。

    • 証明書要求エージェント EKU を削除します。
    • 過度に制限された登録アクセス許可を削除します。これにより、すべてのユーザーがその証明書テンプレートに基づいて証明書を登録できます。 Defender for Identity によって脆弱としてマークされたテンプレートには、組み込みの特権のないグループの登録を許可するアクセス リスト エントリが少なくとも 1 つ存在し、これを任意のユーザーが悪用できるようにします。 組み込みの特権のないグループの例としては、 認証されたユーザー または すべてのユーザーがあります。
    • CA 証明書 マネージャーの承認 要件を有効にします。
    • 任意の CA によって発行される証明書テンプレートを削除します。 発行されていないテンプレートは要求できないため、悪用することはできません。
    • 証明機関レベルで登録エージェントの制限を使用します。 たとえば、登録エージェントとして機能できるユーザーと、要求できるテンプレートを制限できます。

運用環境でオンにする前に、制御された環境で設定をテストしてください。

注:

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。

次の手順